Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

구문

계층 수준

설명

IKE(Internet Key Exchange) 정책은 피어 주소, 지정된 피어에 대한 사전 공유 키 및 해당 연결에 필요한 제안을 포함하여 IKE 협상 중에 사용할 보안 매개 변수(IKE 제안)의 조합을 정의합니다. IKE 협상 중에 IKE는 두 피어에서 동일한 IKE 정책을 찾습니다. 협상을 시작한 피어는 모든 정책을 원격 피어에 전송하고 원격 피어는 일치하는 항목을 찾으려고 시도합니다.

문의 IKE(Internet Key Exchange) 제안은 policy 위에서 아래로 목록 순서로 평가되므로, 정책을 생성할 때 우선 순위가 가장 높은 제안을 먼저 지정한 다음 다음으로 높은 우선 순위를 지정하는 식입니다.

옵션

policy-name- IKE(Internet Key Exchange) 정책의 이름입니다. 정책 이름은 최대 32자의 영숫자일 수 있습니다.

blocklist blocklist-name- 해당 원격 피어의 IKE ID 차단 목록의 이름을 지정합니다. 차단 목록은 IKE(Internet Key Exchange) SA 협상 인증 단계에서 IKE-ID를 차단하는 데 사용됩니다.

certificate- VPN(가상 사설망) 개시자 및 수신자를 인증하기 위한 디지털 인증서의 사용을 지정합니다. 자세한 내용은 인증서를 참조하십시오.

description description- IKE(Internet Key Exchange) 정책에 대한 설명을 지정합니다.

mode- IKE(Internet Key Exchange) 1단계 협상에 사용되는 모드를 정의합니다. 피어 유닛에 동적으로 할당된 IP 주소가 있는 경우와 같이 ID 보호 없이 IKE 키 교환을 시작해야 하는 경우에만 적극적인 모드를 사용합니다. IKEv2 프로토콜은 모드 구성을 사용하여 협상하지 않습니다. IKE(Internet Key Exchange) 정책에서 구성을 업데이트할 mode 때 디바이스는 기존 IKE 및 IPsec SA를 삭제합니다.

  • aggressive- 적극적인 모드.

  • main- 메인 모드. Main 모드는 키 교환 중에 당사자의 ID를 숨기기 때문에 권장되는 키 교환 방법입니다.

    원격 게이트웨이에 동적 주소가 있고 인증 방법이 pre-shared-keys인 경우 그룹 VPN 서버 또는 구성원에 대한 구성이 mode main 지원되지 않습니다.

pre-shared-key- IKE(Internet Key Exchange) 정책에 대한 사전 공유 키를 정의합니다. IKE(Internet Key Exchange) 정책에서 구성을 업데이트할 pre-shared-key 때 디바이스는 기존 IKE 및 IPsec SA를 삭제합니다.

  • ascii-text key- 키에 대해 1-255자의 ASCII 텍스트 문자 문자열을 지정합니다. 특수 문자를 ( ] ) ?  & ! | [ 포함하려면 전체 키 문자열이나 특수 문자를 따옴표로 묶으십시오. 예를 들어“str)ng”, 또는 .str”)”ng 문자열 내에서 따옴표를 다른 용도로 사용하는 것은 허용되지 않습니다. 암호화를 사용하면 des-cbc 키에 8개의 ASCII 문자가 포함됩니다. 암호화를 사용하면 3des-cbc 키에 24개의 ASCII 문자가 포함됩니다.

  • hexadecimal key- 키에 대해 1-255자의 16진수 문자열을 지정합니다. 문자는 에서 까지의 16진수 0 9이거나 또는 에서 또는 를 통과 f A 하는 F문자 a 여야 합니다. 암호화를 사용하면 des-cbc 키에 16개의 16진수 문자가 포함됩니다. 암호화를 사용하면 3des-cbc 키에 48개의 16진수 문자가 포함됩니다.

seeded-pre-shared-key- IKE(Internet Key Exchange) 정책에 대해 시드된 사전 공유 키를 ASCII 또는 16진수 형식으로 정의합니다. 은(는 seeded-pre-shared-key ) 피어에 대한 을 pre-shared-key (를) 생성하는 데 사용되는 마스터 키입니다. 따라서 각 피어는 서로 다른 pre-shared-key. 이 옵션의 장점은 게이트웨이에 대한 각 피어 연결이 서로 다른 사전 공유 키를 가지므로 피어 pre-shared-key 중 하나가 손상되더라도 다른 피어는 영향을 받지 않는다는 것입니다.

피어 사전 공유 키는 로 seeded-pre-shared-key 구성된 마스터 키를 사용하여 생성되고 피어 간에 공유됩니다. 피어의 사전 공유 키를 보려면 명령을 실행 show security ike pre-shared-key 하고, 피어의 디바이스에 표시된 사전 공유 키를 사전 공유 키(ASCII 형식)로 공유 및 구성합니다. 마스터 키는 게이트웨이 디바이스에서만 구성되며 피어와 공유되지 않습니다.

또는 show security ike pre-shared-key user-id peer ike-id gateway gateway name 명령을 사용하여 show security ike pre-shared-key user-id peer ike-id master-key master key 피어 사전 공유 키를 검색할 수 있습니다.

  • ascii-text key- 키에 대해 1-255자의 ASCII 텍스트 문자 문자열을 구성합니다. 특수 문자를 ( ] ) ?  & ! | [ 포함하려면 전체 키 문자열이나 특수 문자를 따옴표로 묶으십시오. 예를 들어“str)ng”, 또는 .str”)”ng 문자열 내에서 따옴표를 다른 용도로 사용하는 것은 허용되지 않습니다.

  • hexadecimal key- 키에 대해 1-255자의 16진수 문자열을 지정합니다. 문자는 에서 까지의 16진수 0 9이거나 또는 에서 또는 를 통과 f A 하는 F문자 a 여야 합니다.

proposal-set- 기본 IKE(Internet Key Exchange) 제안 집합을 지정합니다.

proposals proposal-name- IKE(Internet Key Exchange) 정책에 대해 최대 4개의 1단계 제안을 지정합니다. 여러 제안을 포함하는 경우 모든 제안에 동일한 Diffie-Hellman 그룹을 사용합니다.

reauth-frequency number- 새 IKEv2 재인증을 트리거하도록 재인증 빈도를 구성합니다. 재인증은 새 IKE SA를 만들고, IKE SA 내에 새 하위 SA를 만든 다음, 이전 IKE SA를 삭제합니다. 이 옵션은 기본적으로 비활성화되어 있습니다. 재인증이 발생하기 전에 발생하는 IKE 키 재생성의 umber. 인 1경우reauth-frequency, IKE 키 재생성이 있을 때마다 재인증이 발생합니다. 인 경우reauth-frequency, 다른 모든 IKE 키 재생성 시 재인증이 2발생합니다. 인 경우reauth-frequency, 세 번째 IKE 키 재생성 시 재인증이 3발생합니다.

  • 기본값: 0(사용 안 함)

  • 범위: 0-100

필요한 권한 수준

security - 구성에서 이 명령문을 볼 수 있습니다.

security-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 8.5에서 수정된 명령문.

및 옵션에 대한 suiteb-gcm-128 suiteb-gcm-256 지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

옵션에 대한 policy-oids 지원이 Junos OS 릴리스 12.3X48-D10에 추가되었습니다.

옵션에 대한 trusted-ca 지원이 Junos OS 릴리스 18.1R1에 추가되었습니다.

Junos OS 릴리스 15.1X49-D60에 추가된 옵션에 대한 reauth-frequency 지원.

옵션에 대한 seeded-pre-shared-key 지원이 Junos OS 릴리스 21.1R1에 추가되었습니다.

옵션에 대한 blocklist 지원이 Junos OS 릴리스 23.4R1에 추가되었습니다.